Novità di Active Directory Domain Services per Windows Server 2016

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Le seguenti nuove funzionalità in servizi di dominio Active Directory (AD DS) è migliorare la capacità per le organizzazioni di proteggere gli ambienti Active Directory e consentono di eseguire la migrazione a distribuzioni cloud-only e distribuzioni ibride, in alcune applicazioni e servizi sono ospitati nel cloud e ad altri utenti sono ospitati in locale. I miglioramenti includono:

• Gestione degli accessi con privilegi

• Estensione delle funzionalità del cloud ai dispositivi Windows 10 tramite Aggiunta ad Azure Active Directory

• Connessione dei dispositivi aggiunti a un dominio ad Azure AD per le esperienze di Windows 10

• Abilitare Windows Hello for Business nell'organizzazione

• Deprecazione dei livelli di funzionalità del servizio Replica file e Windows Server 2003

Gestione degli accessi con privilegi

Gestione accesso con privilegi (PAM) riduce i rischi di sicurezza per gli ambienti di Active Directory che sono causati da problemi di credenziali tecniche furto tali pass-the-hash, spear phishing e tipi di attacchi simili. Fornisce una nuova soluzione di accesso amministrativo che viene configurata tramite Microsoft Identity Manager (MIM). Sono stati introdotti PAM:

• Bastione una nuova foresta di Active Directory, che viene eseguito il provisioning da MIM. La foresta bastione ha una relazione di trust con una foresta esistente PAM speciali. Fornisce un nuovo ambiente Active Directory che sono privi di qualsiasi attività dannose e isolamento da una foresta esistente per l'utilizzo di account privilegiati.

• Nuovi processi in MIM per richiedere privilegi amministrativi, insieme ai nuovi flussi di lavoro in base l'approvazione delle richieste.

• Nuovo shadow entità di sicurezza (gruppi) che viene eseguito il provisioning nella foresta bastione da MIM in risposta alle richieste di privilegi amministrativi. Le entità di sicurezza shadow hanno un attributo che fa riferimento il SID di un gruppo amministrativo in una foresta esistente. In questo modo il gruppo shadow per accedere alle risorse in una foresta esistente senza modificare qualsiasi elenchi di controllo di accesso (ACL).

• Una funzionalità collegamenti in scadenza, che consente di scadenza appartenenza a un gruppo di ombreggiatura. Un utente può essere aggiunto al gruppo sufficiente tempo necessario per eseguire un'attività amministrativa. L'appartenenza a un limite di tempo è espresso da un valore di (durata TTL) time-to-live che viene propagato a una durata del ticket Kerberos.

  Nota

  Scadenza collegamenti sono disponibili in tutti gli attributi collegati. Mentre l'attributo collegato membro/memberOf relazione tra un gruppo e un utente è riportato l'esempio solo in una soluzione completa, ad esempio PAM è preconfigurata per utilizzare la funzionalità di collegamenti che sta per scadere.

• Miglioramenti KDC sono incorporati controller di dominio Active Directory per limitare la durata ticket Kerberos sul valore più basso possibile time-to-live (TTL) nei casi in cui un utente dispone di più le appartenenze associate alla durata in gruppi amministrativi. Ad esempio, se si viene aggiunti a un gruppo di limite di tempo, quando si accede, durata Kerberos ticket di concessione ticket (TGT) è uguale all'ora di ciò che resta nel gruppo A. Se si è anche un membro di un altro limite di tempo gruppo B, che ha una DURATA inferiore rispetto a un gruppo, la durata TGT è uguale a tempo rimanente nel gruppo B.

• Nuove funzionalità di monitoraggio consentono di identificare che ha richiesto l'accesso, il tipo di accesso è stato concesso e quali attività sono state eseguite.

Requisiti per la gestione accessi con privilegi

• Microsoft Identity Manager

• Livello di funzionalità di Windows Server 2012 R2 o versioni successive di foresta di Active Directory.

Aggiunta ad Azure AD

Azure Active Directory Join migliora le esperienze di identità per enterprise e business EDU clienti - con funzionalità migliorate per i dispositivi personali e aziendali.

Vantaggi:

• Disponibilità delle attuali impostazioni nei dispositivi Windows di proprietà della società. I servizi Oxygen non richiedono un account Microsoft personale: vengono ora eseguiti dagli account aziendali esistenti degli utenti per garantire la conformità. I servizi Oxygen funzioneranno sui PC aggiunti a un dominio di Windows locale e sui PC e i dispositivi aggiunti al tenant di Azure AD ("dominio cloud"). Queste impostazioni includono:

  • Il roaming o personalizzazione, le impostazioni di accessibilità e le credenziali
  • Backup e ripristino
  • Accesso a Microsoft Store con account aziendale
  • I riquadri animati e notifiche

• Accesso alle risorse dell'organizzazione su dispositivi mobili (telefoni, tablet) che non possono essere aggiunti a un dominio Windows, che siano di proprietà dell'azienda o BYOD.

• Single-Sign On a Office 365 e altre applicazioni aziendali, siti Web e risorse.

• Sui dispositivi BYOD, aggiungere un account aziendale (da un dominio locale o Azure AD) a un dispositivo personale e usufruire del servizio Single Sign-On per l'uso di risorse, tramite le applicazioni e sul web, in modo da garantire la conformità con nuove funzionalità come il controllo account condizionale e l'attestazione dell'integrità del dispositivo.

• Integrazione MDM consente di registrare automaticamente i dispositivi all'MDM (del portale aziendale Intune o di terze parti).

• Impostare la modalità tutto schermo e i dispositivi condivisi per più utenti dell'organizzazione.

• Esperienza dello sviluppatore consente di creare applicazioni che ciò sia aziendali che personali contesti di uno stack di programmazione condiviso.

• Imaging opzione consente di scegliere tra l'immagine e consentire agli utenti di configurare i dispositivi di proprietà della società direttamente durante la prima esecuzione.

Per altre informazioni, vedere Introduzione alla gestione dei dispositivi in Azure Active Directory.

Windows Hello for Business

Windows Hello for Business è un nuovo approccio all'autenticazione per organizzazioni e consumatori basato su chiavi che supera le password. Questo tipo di autenticazione si basa su violazioni, furti e credenziali resistente per attività di phishing.

L'utente accede al dispositivo con informazioni di accesso biometriche o PIN collegate a un certificato o a una coppia di chiavi asimmetriche. I provider di identità (IDP) convalidano l'utente abbinando la chiave pubblica dell'utente per IDLocker e forniscono log in informazioni tramite password monouso, telefono o un diverso meccanismo di notifica.

Per altre informazioni, vedere Windows Hello for Business

Deprecazione di livelli di funzionalità del servizio Replica File (FRS) e Windows Server 2003

Sebbene il servizio Replica File (FRS) e i livelli di funzionalità di Windows Server 2003 sono stati deprecati nelle versioni precedenti di Windows Server, vale la pena ripetere che il sistema operativo Windows Server 2003 non è più supportato. Di conseguenza, qualsiasi controller di dominio che esegue Windows Server 2003 devono essere rimossi dal dominio. Il livello di funzionalità del dominio e foresta deve essere generato almeno a Windows Server 2008 per evitare che un controller di dominio che esegue una versione precedente di Windows Server venga aggiunto all'ambiente.

In Windows Server 2008 e più livelli funzionali di dominio, replica del file system distribuito (DFS, Distributed File Service) viene utilizzata per la replica di contenuto della cartella SYSVOL tra i controller di dominio. Se si crea un nuovo dominio al livello di funzionalità del dominio di Windows Server 2008 o versione successiva, la Replica DFS viene automaticamente usata per replicare la cartella SYSVOL. Se il dominio è stato creato a un livello di funzionalità inferiore, sarà necessario eseguire la migrazione dall'uso del servizio Replica file alla replica DFS per la cartella SYSVOL. Per la procedura di migrazione, è possibile seguire questi passaggi o fare riferimento al set di passaggi semplificato disponibile nel blog del Team di archiviazione File CAB.

I livelli di funzionalità dominio e foresta Windows Server 2003 continuano a essere supportate, ma le organizzazioni devono aumentare il livello di funzionalità a Windows Server 2008 (o versioni successive, se possibile) per garantire la compatibilità di replica di SYSVOL e il supporto in futuro. Inoltre, sono disponibili molti altri vantaggi e funzionalità a più livelli di funzionalità superiore. Per ulteriori informazioni, vedi le seguenti risorse:

• Informazioni sui livelli di funzionalità di Active Directory Domain Services
• Aumentare il livello di funzionalità del dominio
• Aumentare il livello di funzionalità della foresta